我有一个代码博客,其中有一个提交用户输入表单。无论这种形式如何,都会出现在其中一页上。现在这是一个编码博客,所以我不想从输入中去掉任何HTML标签或javascript代码,但我不希望它在任何时候都执行。什么是最好的方式来使任何输入无害?用>
代替<
由<
和>
足够吗?清理代码博客的输入
(对信息,服务器将GAE,输入将围绕在Python变量传递(但从未进行评估),并将其存储在TextProperty)
我有一个代码博客,其中有一个提交用户输入表单。无论这种形式如何,都会出现在其中一页上。现在这是一个编码博客,所以我不想从输入中去掉任何HTML标签或javascript代码,但我不希望它在任何时候都执行。什么是最好的方式来使任何输入无害?用>
代替<
由<
和>
足够吗?清理代码博客的输入
(对信息,服务器将GAE,输入将围绕在Python变量传递(但从未进行评估),并将其存储在TextProperty)
是,更换<和>应该是足够
最好的办法是简单地将后端的值转义为安全输入到存储引擎中,并使用HTML实体输出它们,以便将它们显示为代码。